常用网络入侵检测系统分析研究

倪 立

南阳医学高等专科学校，河南南阳 473000

随着计算机和网络通信技术的飞速发展，计算机通信网络发挥了明显的社会公共基础设施功能，为人类社会生活的各个方面提供高效便利的服务。各种网络安全社会问题与网络犯罪现象日益严重，网络安全技术随之也得到了不断发展。传统的静态防御技术，如系统加固技术、防火墙隔离技术、加密技术等，技术本身存在有防御被动、负载量大、效率低下、灵活性不强等缺点，已难以较好地保证网路信息的安全。

主动防御技术日趋成为人们研究的重点，入侵检测须能够积极主动的实施网络动态安全防御，补充协助系统防御网络攻击，网络资源占用较少，适时实现智能化信息采集与分析、检测未经授权对象入侵、系统资源非法占用等，提高了检测效率，减少了错报漏报，保护计算机网络系统免受外部攻击、内部攻击、错误操作的侵害，提高了网络信息安全基础结构的完整性。

1 常用网络入侵检测系统分析

网络入侵检测系统（Network Intrusion Detection System 简称NIDS），主要用于动态检测防御网络入侵行为。网络入侵检测系统能够实时监控网络运行状态，在线采集并分析数据报文，及时发现和主动干预系统网络的异常入侵行为。

入侵检测系统（NIDS）的功能有：收集数据、事件响应、事件分析、数据存储、功能测评。可具备网络引擎、数据库、用户账户的管理功能。

入侵检测系统（NIDS）检测的常见攻击类型有：后门类、HTTP 类、DNS 类、FTP 类、ICMP 类、Mail 类、Finger 类、DoS 类、RPC 类等。

入侵检测系统（NIDS）的主要模块方式：网络入侵检测模块和主机入侵检模块进行互补式信息获取。网络入侵检测模块。在网络中安装放置网络入侵检测模块，检测保护该网段的数据报文；主机入侵检模块。专门收集安装该模块机器的信息，对本机实施保护。

入侵检测系统（NIDS）的原理：采集分析网络系统活动信息——系统结构审计——辨别、响应、报告异常活动模式——统计分析异常活动模式——评估数据文件、重要系统的完整性——审计、跟踪、管理操作系统。

入侵检测系统（NIDS）的信息来源：网络信息和系统日志、系统文件异常信息、系统程序异常信息、入侵信息。

入侵检测系统（NIDS）的规则分类：特征检测技术规则和统计检测技术规则的适用范围不同。特征检测技术规则使用特征码进行标识，通过数据和特征码的比较来辨别发现入侵行为；统计检测技术规则使用统计规律为分析策略，检测行为，统计数量，辨别发现入侵行为和错误操作。

深静脉血栓的预防分为药物预防和非药物预防。药物预防，包括肝素、低分子肝素、华法令等药物使用，根据不同患者选择合适药物应用。研究显示，依诺肝素应用使腹部大手术围手术期血栓发生率更低[18] ，他汀类药物可以有效预防血栓发生[19] 。但药物使用存在出血风险，有出血风险和出血倾向患者则不能使用，尤其是部分危重病患者使用抗凝药物存在禁忌症。非药物预防，包括早期活动[20] 、增加被动运动、压力梯度长袜、气压泵应用[21] 等，为避免出血风险发生或存在药物应用禁忌症，可选择使用非药物预防方法，联合使用多种非药物预防方法，亦可达到很好预防效果。

常用网络入侵检测技术分析：

统计方法检测。优点是比较成熟，应用广泛；缺点是不适合单独使用，分析策略容易被适应。

专家系统检测。优点是有较高的智能，检测效率较高，对特定攻击行为效果较强；缺点是检测不全面。

数据挖掘检测。优点是数据处理和检测预警能力强；缺点是技术实现难度大。

免疫学原理检测。优点是识别准确，效率较高；缺点是数据负载量大，系统模型实现困难。

模型推理检测：需要事先定义攻击模式与特征参数，实现及更新检测模型有较大的困难。

向量机检测：用条件布尔表达式模拟对象行为过程，难以检测形式较为复杂的攻击模式。

2 构建新型网络入侵检测系统

网络入侵技术和网络入侵检测技术同时发展、同时更新。高速网络交换技术、加密数据通信技术、大通信量数据分析技术也对网络入侵检测技术提出了新的更高要求。各种常用网络入侵检测技术都有其优缺点或存在有设计的缺陷，单一型网络入侵检测技术难以满足主动防御的需要，在实际应用中，网络结构各有不同，需要我们结合实际，综合完善，扩展开发各种网络入侵检测技术。

2.1 主要结构

1）数据采集层。使用数据采集器进行网络数据报文采集，采集后向分析层输出。

2）分析层。使用数据分析引擎收处理数据报文，辨识发现异常行为和攻击入侵，将异常事件上报至管理层，响应处理异常事件。

3）管理层。优管理机制、对抗机制和存储机制构成，处理响应入侵检测结果，最终将相关安全事件进行存储。

分析传统型网络入侵检测技术的主要组成结构和处理模型，在三个层次部分中，整个网络入侵检测系统的核心是数据分析引擎，负责数据的接收、分析、辨识、上报、响应、处理等多项内容。由于网络的不断提速，传统检测技术的简单层次式处理模型设计难以胜任，待处理数据报文的负载量大，严重堆积，入侵检测的效果较差。

2.2 新型体系构建

构建新型的网络入侵检测体系，可从以下几方面入手。

1）可扩展多级并行处理结构。扩展检测探针达到合适的规模，不断提升检测的性能和效果；将传统型网络入侵检测技术的层次式处理模型拓展为四层，在采集层与分析层间增加负载分配层，既，数据采集层、负载分配层、分析层和管理层，提升检测系统的总体处理能力和检测效果。

2）分布式入侵检测。采取分布式入侵检测技术与通用入侵检测技术相结合的方法，使入侵检测不再局限于网络架构或单一主机，能较好地解决特定系统检测、大规模网络检测和IDS 系统协同等问题。

3）应用层入侵检测。拓展和开发应用层，应对处理其他应用系统，对客户终端、服务器结构、对象技术等进行保护。

4）智能入侵检测。研究提升检测系统的自主学习和训练适应能力，加强遗传算法、神经网络模型、智能体系在入侵检测技术领域的应用和研究。

5）结合网络安全技术。将入侵检测技术与防毒软件、防火墙技术、SET、PKIX 等新型网络安全技术相结合，形成较为完整的网络安全保障体系。

6）测评与评价方法。研究设计适用于网络入侵检测技术的测评方法和评价平台，重点测评检测技术的系统适用性、技术适用范围、资源占用等方面。

[1]陈一骄.网络入侵检测系统高速处理技术研究[J].国防科学技术大学学报，2007.

[2]姚文斌，王枞，刘建毅.高速网络入侵检测系统体系结构的设计[J].全国容错计算学术会议，2009.

[3]张明，郭小燕.分布式入侵检测系统在校园网安全中的应用研究[J].自动化与仪器仪表，2013.

[4]刘世江.分布式入侵检测系统研究[J].山西电子技术，2014.